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TI Monitoring system for safe operation of manufacturing plant with multiple 

modules, e.g robot handling system - has dual redundancy safety units 

built into each module and coupled to each other. 
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The manufacturing plant can be in the form of a robot handling system that 
has a power module [1] containing electrics and mechanical elements and 
this is coupled to a control module [2] . A. hand held cycle programming 
unit [3] is coupled to the controller together with peripherals [4,5] 

Each module has a safety unit [6.1- 6.5] based on dual 
microprocessors, RAM and ROM memory. Pairs of serial data lines [7,8] 
connect the safety units together. 

ADVANTAGE - Provides distributed checJcs for high reliability 
identification of faults. 
Dwg.1/3 
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(m) Verfahren und Vorrichtung zunn Uberwachen einer Aniage nnit mehreren Funktionseinheiten 
(57) Verfahren zum Uberwachen einer Aniage mit mehreren 

Funktionseinheiten, wobei jede Fijni<tionseinheit durch 

jeweils eine eigene zweikanalige und in sich redundante 

Sicherheitseinrichtung individuell uberprOft wird, die bei-- 

den Kanaie jeder Sicherheitseinrichtung standig vergli- 

chen werden, die Sicherheitseinrichtungen laufend ein- 

ander uber ihren Uberprufungszustand unterrichten und 

bei einer Fehlfunktion mindestens einer Funktionseinheit 

Oder Sicherheitseinrichtung mindestens ein sicherheits- 

relevantes Stellglied betatigt wird. 
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Beschreibung 



Die Erfindung betrifft ein Verfahren und eine Vorrichtung 
zum Uberwachen einer Anlage mit. mehreren Funktionsein- 
heiten. 

Bei einer Anlage, wie einer Fertigungsanlage, von der die 
Erfindung ausgehr., kann es sich urn eine oder mehrere ein- 
ander zugeordnete Maschinen handeln, wie beispielsweise 
Roboter. Eine Maschine bzw, ein Roboter besteht aus meh- 
reren unterschiedlichen Funkrionseinheiten, wie dem Lei- 
sr.ungsr.eil (Power Modul), einer St.euereinheit und einer Be- 
dienungseinheir. In einer Anlage, von der ausgegangen 
wird, konnen mehrere solche Maschinen mit. den genannten 
Funkrionseinheiten zusarnmenarbeiten und miteinander ver- 
knupfl sein. Weiterhin kann Peripherie vorhanden sein, wie 
Schienen, auf denen die Maschinen, wie Roboter, verfahren 
werden oder ein Portal, das die Maschinen oder Roboter ent- 
lang eines zu bearbeitenden "Werkstucks", wie eines wSchi^ 
tes, verfahrt.. 

Bisher werden bei Steuereinrichtungen parailele Nor- 
Aus-Verdrahtungen yorgenommen, die in Relaistechnik ver- 
wirkHchi werden. Problenie ergeben sich dabei mit der Si- 
cherheit bei Programmierhandgeraten (Bedienungseinhei- 
len), deren flexible AnschluBkabel vielen Einwirkungen 
ausgesetzt. sind, so daB ein KurzschluB zwischen Not-Aus- 
Leitungen nicht. sicher ausgeschiossen werden kann. Die 
notwendige Zweikanaligkeit macht die Kabel zudeni steii; 
dick und schwen Parallel verdrahtete Sicherheiiskreise sind 
applikationsspezifisch ausgelcgt. und bielen keine Flexibili- 
rat. Funkrionelle Abweichungen sind nur durch eine Um- 
kon st.ru kli on mogHch. Nor-Aus-Schleifen und Bediencr- 
schutz-Schleifen sind zwar erweiierbar, sie bieten aber nicht. 
die Moglichkcit einer Diagnose, wenn ein Signalgeber im 
Sicherheitskreis einer Maschinensfeuerung geoffnet ist.. 
Daruber hinaus sind derartige Sicherheitseinrichtungen un- 
iibersichr.lich und schwieiig zu warten, wobei gerade die 
groBe Zahl der bel.eihgten Konf.akle der Sicherheitslogik 
wiederutn cinen negativen EinfluB aut'die Bctriebssicherheit 
hai. 

Die DE 37 ()6 325 Al zeigl, ein Steuer- und Dalennel.z- 
werk, bei dein eine Anzahl von Anschalrmodulen mil je ei- 
nem Prozessor riiit. zugehorigen Bauieiien sowie wenigslens 
einer Eingangsschah.ung und einer Ausgangsschaltung zur 
Aulnahme bzw. Abgabe von Dalen und vSignalen parallel an 
cinen Bus angeschlossen ist,. Die Anlage weisi cinen ge- 
meinsamen Lcitrechner auf, der die AnschalUnodule iibcr 
den Bus niilt.els adressierter Tclegramme auCruft. und Daten- 
und Steuerinfonnationen ubert.ragt, sowie Antwortcn der 
Anschalt.module aulTiimmt.. Nachleihg ist., daB ein zeniraler 
Leitrechner vorhanden sein muss, der die Anschallmodule 
mitteis adressierbarer Telegramme aufrufi und derarl. Dalen- 
und Steuerinfonnalioncn uberlragi sowie . Anl.worten der 
Anschaltniodule aulmmmi. Dadurch, daB die einzelnen Mo- 
dule oder Knolen an der Adressierung von eineni zeniralcn 
Rechner abhiingig sind, ist. das vSystem relativ storanfcillig. 

DerHrrtndung liegl daher die Aufgabe zugrunde, ein Ver- 
fahren und eine Vorrichiung zum Uberwachen einer Anlage 
zu schaffen, die eine hohe Uberwachungssicherheil. auf- 
weisL 

ErhndungsgemiiB wird die genannie Aufgabe durch ein 
Verfahren und eine Vorricht.ung niit. den Merkmaien der An- 
spriiche 1 bzw, 7 geldst.. 

Die Erhndung siehr. eine verteilte Sicherheitslogik vor, 
bei der jede Sicherheiiseinricht.ung sami.liche erforderlichen 
Sichcrheitstunklionen aufweist. Hierdurch ist. eine hochaut- 
losende Diagnose moglich. Die Sicherheitseinrichiungen 
si.ehen miteinander in Verbindung bzw. kommunizieren mit- 
einander, so daB sie sich auch gegenseitig uberwachen kon- 



nen und eine Sicherheil.seinrichl.ung den Ausfall einer ande- 
ren erkennt und damir ein sicherheit.srelevant.es Signal zur 
Bettitigung eines Stellglieds ausgeben kann. 

In einer ersten bevorzugten Ausgestaltung ist vorgesehen, 
5 daB die Sicherheitseinrichtungen eine Schnittstellenbeschal- 
tung aufweisen. Hierdurch konnen die Sicherheitseinrich- 
tungen sehr einfach und ubersichtiich aufgebaut. sein. 

In bevorzugter Ausgestaltung ist dabei vorgesehen, daB 
die Sicherheitseinrichtungen seriell miteinander konuiiuni- 
10 zieren bzw. daB die Sicherheitseinrichtungen seriell mitein- 
ander verbunden sind. Durch die serielle Verbindung wird 
eine parailele Verdralitung uberHijssig. Notwendige Kabel- 
querschnilt.e konnen reduziert werden, was insbesondere fUr 
portable Geriite, wie Bedien- oder Programrnierhandgerate, 
15 auBerst vorteilhaft ist. 

In weiterer bevorzugter Ausgestaltung ist vorgesehen, 
daB die Sicherheitseinrichtungen mitteis eines Ringprolo- 
koUs miteinander kommunizieren bzw. daB die Sicherheits- 
einrichtungen in einern Ring tniteinander verbunden sind. 

20 Damit ist. die gesamte Sicherheitsvorrichtung in einfacher 
Weise beliebig erweiterbar. Wenn beispielsweise die Anlage 
weitere Funktionseinheiten erhiilt, so konnen die zugehori- 
gen Sicherheitseinrichtungen ohne weiteres in einfacher 
Weise integriert werden. Es wird hierdurch eine einfache 

2.S und ubersichtliche AnpaBbarkeit an verschiedene Anlagen 
gewahrleislet. Die Adressierung kann dabei physikalisch 
durch Plazierung im Bus erfolgen. Eine sichere Reakrion ist 
auch bei Hrweiterung des Ringprot.okolls sofort erreichbar. 
Weitere bevorzugte Ausgestaltungen sehen vor, daB jede 

30 Sicherheiiseinricht.ung Diagnoseeingiinge aulweisi., wobei 
insbesondere die Diagnoseeingiinge mit Pruf-Schallzyklen 
der sicherheilsreievanlcn Eingange synchronisiert sind bzw. 
die Sicherheitseinrichtungen laufcnd eine Diagnose der i li- 
nen zugeordnet.en Funki.ionseinheit und damit der Anlage 

155 durchliihren. Hierdurch konnen Signalgeber, die ein sicher- 
heitsrelevantes Signal abgegeben haben, lokalisierl. werden. 
DariJber hinaus kann eine permanente Uberwachung und 
Diagnose dergesamten Anlage vorgenomnien werden. 
In weiterer bevorzugter Ausgestaltung ist vorgesehen, 

40 daB in den Sicherheitseinrichtungen enthaliene Mikropro- 
zessoren zyklisch ihr Prozessabbild und das daraus kalku- 
liert.e Ergebnis und/oder den Inhalt von Speichern uberpru- 
fen, wobei insbesondere der korrekte AnschluB und die. 
Funktion von Signaleingiingen und Signalgebem uberpruft 

45 wird. Insbesondere bei einer redundanten Ausgestaltung der 
Sicherheitseinrichtungen in der oben skizzierten Weise kon- 
nen die Mikroprozessoren sich gegenseitig und die urnge- 
bende Hardware zyklisch abprufen, wobei gleichzeilig das 
ablaufende Programm auf KonsisLenz gepruft, werden kann. 

.^0 Der Inhallsvergleich der Prozessoren erfolgt dabei bei ei- 
nern Ringprolokoll iiber den gesamten Ring. 

.lede Sicherheilseinrichlung vveist mindest.ens einen si- 
cherheilsrelevanlen Ausgang aul'weist und/oder daB jede Si- 
cherheitseinrichtung mehrere sicherheitsrelevanle Eingange 

-■^.s autweist. 

Sowohl die gesamte Sicherheitssiruktur wird einfacli und 
besonders preiswert, wenn in Weiierbildung vorgesehen ist, 
daB die Sicherheitseinrichtungen identisch zueinander aus- 
gebildet sind, wobei vorzugs weise auch die in die identi- 

60 schen Sicherheitseinrichtungen iniegrierte Grundsoftware 
ideniisch ist und Anpassungen lediglich iiber Softbausteine 
oder -schalter erfolgen. 

Das erhndungsgemaBe Verfahren und die erhndungsge- 
maBe Losung weisen wesentliche Vorteile auf Die Ring- 

65 siruktur der gesamten Uberwachungsvorrichtung ist erst ge- 
schlossen, wenn sich alle Funktionseinheiten und ihnen zu- 
geordneten einzelnen Sicherheitseinrichtungen in Betrieb 
belinden. Die Kotunmnikalion wird unierhrochen. wenn 
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eine Sicherheitseinrichtung eine Fehlfunktion zeigt; bei ei- 
ner solchen andauemden Storung erfolgt eine Abschaltung 
und das Gesamtsysreiii tritt. in einen sicheren Zust.and. 

Weitere Vorteile bestehen in der durch die Erfindung er- 
reichten dezentxalen Struktur, die, wie gesagt, flexibel er- 
weiterbar isr. und dennoch eine zuverlassige Betriebssicher- 
heit bei geringem Platzbedarf und geringen Kosten erreicht. 
Durch die erfindungsgemaBe Losung wird der Verdrah- 
t.ungsaufwand mininiiert., Diagnosernoglichkeiten werden 
verbessert. Die Sicherheitseinrichtungen gemaB der Erfin- 
dung sind leicht in vorhandene Cerate zu integrieren. 

Weitere Merkmale der Erfindung ergeben sich aus den 
Anspriichen und aus der nachfolgenden Beschreibung, in 
der eine bevorzugte Ausfiihrungsfonn der Erfindung unter 
Bezugnahnrie auf die Zeichnung ini einzelnen erlaut.ert ist. 

Dabei zeigt: 

Fig. 1 einen schernat.ischen Aufbau einer erfindungsge- 
niaBen Vbrrichtung an einer zu iiberwachenden Anlage; 

Fig. 2 eine scheumtische Darstellung einer Sicherheits- 
einrichtung der erfindungsgeniaRen Vorrichtung; und 

Fig. 3 ein Diagramm der durch die Erfindung gewahrlei- 
steten Betriebszustande der erfindungsgemaBen Vorrich- 
tung. 

Eine erfindungsgeniaBe Vorrichtung dient zur Uberwa- 
chung einer Anlage A, wie einer Fertigungsanlage; eine sol- 
che weist beispielsweise eine Leistungseinheit 1 aut; die die 
Leistungselektronik und die mechanischen Elemente einer 
Maschine oder eines Roboters beinhalt.en. Der Leistungsein- 
heit 1 ist eine Steuereinheit zugeordnet, die die vSignaleiek- 
tronik zur Steuerung der Leistungseinheit 1 enthiilt und als 
reine Hardwarcschaltung oder in gewunschter Abstufung 
rnit SoftwareeIenient.cn, bis hin zu einer reinen Cornputer- 
steuerung, ausgebilder sein kann. Bei cinern Roboter sind 
heute Leistungseinheit 1 und vSteuereinheit 2 in der Rcgel 
korperlich und rauiiiHch getrennt ausgelegi. Eine Anlage, 
von der die Erfindung ausgeht, kann weitcrhin eine Bedien- 
einheit 3 aufweisen, die beispielsweise ein Progranunier- 
handgerat sein kann, das iru konkreien Fall zuni Prograrn- 
nueren eines Roboters, wie der wSteuereinheit 2, dienen kann 
und in eineui solchen Fall ebenfalls raunilich und korperlich 40 
getrennt von dieseiri ausgebildet ist. 

Weiterhin kann eine derartige Anlage Peripherien 4, 5 
aufweisen, wie beispielsweise eine Verfahreinrichiung fiir 
die Leistungseinheit 1 oder aber beispielsweise ini vSchilfs- 
bau ein Ponal, aut dein riiehrere Leistungseinheiren I ange- 45 
ordnei sind. 

Die Erfindung sieht nun vor, daB jeder der Funktionsein- 
heiten 1 bis 5 eine separate Sicherheitseinrichtung 6.1-6.5 
/.ugeordnet ist. Die wSicherheilseinrichtungen 6.1- 6.5 sind 
vorteilhafterweisc identisch ausgebildet und daher in der 
Fig. 2 ledighch iiiitderu Be/.ugszeichen 6 versehen. Line Si- 
cherheitseinrichtung 6 weist (inindeslens) zwei Microcon- 
troller auf. Diese haben ausreichend integrierle RAMs oder 
ROMs sowie mindestens einen seriellen AnschluB. So kann 
die ZweikanaligkeitderSicherheitskreise bis in die Auswer- 55 
tung hinein aufrecht erhalten werden. Die zwei Kantile des 
redundanten Systenfs werden standig verglichen. .Fe nach 
Verwendung ist eine unterschiedliche Schnittsteilenbeschal- 
tung vorgesehen. Die Sicherheitseinrichtungen 6.1-6.5 ste- 
hen iiber ankoniniende und weiterleitende Schnittstellen 60 
bzw. Leitungen 7, 8 miteinander in Verbindung. Die Verbin- 
dung ist vorzugsweise weiterhin in einer Ringstrukt.ur mil 
Hin- und Ruckleitungen 7, 8 ausgebildet. 

Eine erfindungsgeniaBe Sicherheitseinrichtung 6 weist 
neben den seriellen Anschlussen oder Leitungen 7, 8 zur 65 
Verbindung mil den anderen Sicherheitseinrichtungen si- 
cherheilsrelevante Eingange 1()-14 auf, die mil der jeweili- 
gen Funktionscinhcii und einzelnen Bedienungselemenlen 
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derselben verbunden sind und zum Einlesen sicherheitsrele- 
vanter Signale dienen. Sicherheitsreievante Eingange leiten 
entweder einen Stop unbedingt ein oder sind Bedingung fur 
einen solchen Stop. Die Eingange 11-14 sind doppelt ausge- 
5 fiihrt., so daB jeder MikrocontroUer uber einen unabhangigen 
Eingang mit identischer Funktion verfugt. Weir.er konnen 
Eingange ohne Sicherheits funktion vorgesehen sein. Diese 
werden auch als Diagnoseeingange bezeichnet und haben 
auf beiden MikrocontroUem unterschiedliche Bedeut.ung. 
10 Alle sicherheitsrelevanten Eingange 11-14 werden durch 
beide MikrocontroUer parallel ausgewertet. So kann ein 
Eingang mit einer Zustimmungstaste, ein anderer mit einer 
Not-Aus-Taste und ein weiterer rnit einer Wahltaste fiir Test- 
oder Automatikbetrieb verbunden sein. Daruber hinaus ist 
15 ein Eingang zum AnschluB weiterer Bedienerschutz-Ein- 
richtungen vorgesehen. Nicht samtliche Eingange rniJssen in 
jeder Funktionseinheit belegt sein. So werden die vorste- 
hend erstgenannten Eingange insbesondere bei der Bedien- 
einheit belegt sein, wahrend der letzt.genannte Eingang (Be- 
^'^ dienerschutz) bei der Leistungseinheit bzw. auch einzelnen 
Peripherieeinheiten belegt ist. 
Im einzelnen gilt: 

Lokaler Not-Aus = LNA 

Dies ist der Eingang fur den lokale Not-Aus, der durch 
Betiitigen des Roboters NOT-AUS an der Bedienungsein- 
heit oder durch eine andere Not-Aus-Bedingung ausgelost 
wird. Er fuhrt unter alien Umsttinden zum Stillsetzen und 
-^0 Energiefreischalten des Roboters sowie der gesamten An- 
lage, in die der Roboter integriert ist. 

Exteme Not-Aus-Anforderung = eNAA 

Diescr Eingang fiihrt unier alien Uiustanden zum Ab- 
schalten des Roboters. Die Nol-Aus-Anfordcrung wird in 
diesein Fall nicht an die Anlage weiicigegeben, da dies zum 
Verriegeln derselben fuhren wiirde. 

Bedienerschutz = BS 

Der Bcdienerschutz-Eingang seizt nur die Sicherheits- 
zclle selbst still. Unter Sicherheitszelle wird bier der Bercich 
verstanden, der von einer Kinematik gelahrbringend durch- 
fahren werden kann. Bei einer Roboterzellc ist dies z. B. der. 
durch Schutzzaune begren/.te Arbeitsbereich des Roboters 
selbst sowie der Zusat.zachscn, die gefahrdende Bewegun- 
gen ausfiihren konnen. 

Der Bedienerschutz isi. akl.iv, wenn die Steuerung in der 
51) Bei.riebsart Auton>atik arbeitet. Das anstehende Bediener- 
schutzsignal ist gleichbedeutend mit dem geschlossenen 
Schutzzaun der Sicherheitszelle. 

1. Qualiftzierler Eingang I (Test/Auto) = QEl 
Der Eingang 13 fur Test/Automai.ik ist ein qualilizie- 
rendes Signal. In der Betriebsart Test ist der Bediener- 
schutz abgeschaltet und da fiir die Zustimmtasten aktiv. 
In der Betriebsart Autornatik ist der Bedienerschutz ak- 
tiv, die Zustimmtasten werden dabei nicht abgefragt. 
Die Sicherheitszelle kann sich entweder in der Test- 
oder in der Automatik-Bet.riebsart befinden. Beide Be- 
triebsarten gleichzeiiig sind genauso wenig moglich 
wie keine Betriebsart. Das Ruhestromprinzip ist hier 
nur schwer einzuhaUen, weil beide Einstellungen ak- 
tive Einstellungen sind, Es ist deshalb sinnvoll, gegen- 
parallele Pegel zu verwenden. Es ergibt sich, daB das 
Signal bei den Microcontrollem einnial als Autornatik 
und einmal als Nichi-Automatik eingelescn wird. Tru 
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folgenden wird anstelle der Bezeichnung/Automatik 
die Bezeichnung Test, verwendet. 
2. Qualifizierender Eingang 2 = QE2 
Fiir den Eingang 14 gilt, die gleiche MaBgabe wie fur 
Eingang 13. Dieser Eingang 14 wird fur Steuerungen 
benot.igt, die eine Uberbriickung des Bedienerschutzes 
in der Betriebsart. Test, benotigen. Bei Uberbriickung 
der i>chut.zeinrichtung in der Betriebsart. Autouiatik 
wird, wie bei einer Verletzung des Bedienerschutzes 
die Zelle stillgesetzt. 

Es sind weiterhin Ausgiinge 15, 16 vorgesehen, die, so- 
weit. belegt, sicherheit.srelevante vStellglieder ansteuem und 
so zur Stillsetzung der Aniage bzw. zurii Vert'ahren dersel- 
ben in eineii sicheren Zustand dienen. Infonnelle Eingtinge 
17 sind einkanalig ausgefiihrt.. Das gesainte Sicherheit.snet.2 
soil auch rnit extemer Spannung zu versorgen sein. Daraus 
ergibt. sich, daB jede vSicherheit.seinricht.ung 6 eine Span- 
nungsversorgung benotigt. Zu dieein Zweck wird rnit der 
Kornniunikat.ionsleitung eine Spannungsversorgung verlegt. 
Die Nennspannung dieser Spannungsversorgung betragt. 
24 V. Jeder Kern verfiigr. uber eine eigene Erzeugung der 
Logikspannung. 

Auch hier gilt iin einzelnen: 

Sicherheilsrelevante Ausgiinge 



Eingange 17 sind synchronisiert. mit. den Pruf-Schalfzyklen 
der sicherheirsrelevanien Signale. So konnen auch verket.- 
tete Not.- A us -Taster zwischen den Kont.akt.en eingelesen 
werden. 

5 

Antriebe Aktivieren = AA 

Das Signal "Antriebe Aktivieren" ist ein Impuls, der die 
Antriebe einschalten soli, solange keine Sicherheitsanforde- 
10 rung dagegen spricht.. Dieses Signal darf nicht. dauernd aktiv 
gehalten werden. 

Antriebe Freigabe = AF 

15 Das "Antriebe Freigabe"-Signal hat. die Aufgabe, die An- 
triebe durch Wegnalinie abzuschalten bzw. ein Einschalten 
zu verhindern. 
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Sicherheitsrelevante Ausgange sind solche, deren ord- 
nungsgeniaRe Funktion zuni Abschalten der Aniagenenergic 
/.wingend erforderlich isi. 30 

Antriebe Ein = AE 

Zu den sicherheiisrclevanlen Ausgiingen ziihll. die An- 
steuerung fiir den Netzschuiz der Antriebe durch das An- 35 
l.riebe Ein Signal. Dieser Ausgang ist. an jeder Sicherheits- 
einrichtung vorhanden und ist sicher. 

Not.- A us = NA 

40 

Der Not- Aus- Ausgang hat die Aufgabe, cine lokale Not- 
Aus-Anforderung in die Notausschleife cincr koinplct.len 
Aniage einzuschleifen. Uin polentialfreie Konlukte zu crhal- 
ten, wird der Knoten mil einer sicheren Rclaiskornbination 
ausgestaltet.. 45 

Bedienerschut.z= BS 

Unter Bedienerschutz verstehl. man Einrichlungen zuni 
Schutz des Bedieners. Dazu ziihlen Schutzzciune, deren 50 
Uberwachungen und abhiingig von der Betriebsart. auch der 
Zustinirnungsschalter. Trn Knoten werden satnlliche Aus- 
gange solcher Einrichlungen zusaniinengefaBt . Der Bedien- 
erschutz-Ausgang hat. die Aufgabe, eine Verletzung des Be- 
diener-Schut.zes auch fiir beteiligte Anlagenleile wirksaiii zu 55 
niachen. Uni potential freie Kontakt.e zu erhalten, kann an 
den Knoten eine sichere Relaiskonibination angeschiossen 
werden. 

Weiter sind infonnelle oder Sieuereingtinge und infor- 
tnelle Ausgange vorgesehen: 6o 

Infonnelle Eingange 

Infonnelle oder Steuereingange 17 sind diejenigen, die 
zuni ordnungsgeniaBen Betrieb des Roboters notwendig 65 
sind. Diese Eingange sind nicht sicherheiisrelevant und kon- 
nen frei verwendet werden. Sie stellen lediglich Tnfonnar.io- 
nen ftir Diagnosezweckc zur Vert'ugung. Die infonnellen 



Not-Aus Tnfo = NAi/Bedienerschutz Info = Bsi 

Eine lokale Not-Aus- oder Bedienerschutz-Schleife kann 
niit diesen Eingtingen zwischen den Kontaklen abgegritfen. 
werden, uin bei einer Unterbrechung Infomiationen Ciber 
den Ort. der Sicherheitsanforderung zu erhalten. 

Tnfornielle Ausgange 

Infornielle Ausgange sind diejenigen, die ausgegeben 
werden, urn den Status des Sicherheitsnetzwerks darzust.el- 
Icn. Infonnelle Ausgange konnen zu einer Regisl.erschnitt.- 
stelle zusanmiengefaBt werden. Bei AnschluB eines Steue- 
rungsrechners, in deni keine sicherheitsrelevanten Stellglie- 
der vorhanden sind, konnen auch sicherheitsrelevante Aus- 
gange zu Infonnationszwecken verwendet werden. 

I Nol-Aus = iNA 

Die Nol-Aus-Infornialion hal. die Aufgabe, eine lokale 
Not-Aus-Anforderung an eine wSl.euerung oder Signalleucht.e 
zu nielden. Dieses Signal isl eine ODER-Verkniipfung aller 
Nol-Aus- Bedingungen niit. Ausnahrne des Signals: externe 
NOT-AUS A n f orde ru n g . 

I Fehler intern = iFi 

Das I'chlersignal gibi Auskunft, ob es innerhalb der erfin- 
dungsgeniiiBen Vorricht.ung zu einern Fehler gekoninien ist.. 
der zur Abschaltung getiihrt hat. 

Irn Leisi.ungsieil 1 wird ein Ausgang 15 der Sicherheils- 
einrichlung 6 als Ausgang "Antriebe ein" zuni Ansteuern ei- 
nes Netzschutzes verwendet. Es gibt. ebenso die Moglich- 
keit. bei enlsprcchenden Fehlerzustiinden direkt einen Nol- 
Aus auszulosen. 

Einer Sicherheilseinrichtung in der St.euereinheit 2 stelien 
alie Intbnualioncn und Zustiinde des Sicherheitskreises der 
Sleuerungssoft.ware zur Verfiigung. Auch hier wird ein Aus- 
gang rnit eineru Not-Aus belegt sein, uni einen solchen in 
der Steuereinheit 2 auszulosen. 

DieSicherheit.seinricht.ung 6.1 in einer Bedieneinheii 3 ist 
hauptstichlich Trtiger von Signalgebem fur Not-Aus, Be- 
iriebsartenwahl und Ein- und Ausschalten der Antriebe. 
Eine Anzeige kann uber Steuerungssoftware und ein Dis- 
play erfolgen. 

Sicherheitseinrichtungen 6.4 und 6.5 in der Peripherie 4. 
5 konnen Anrriebsenergien fur in einen Schut.zkreis inte- 
griert.e Servoschalter betat.igen sowie Signalgeber wie Lichi- 
vorhange und zusiitzlichen Not.-Aus-Taster ausgedehnter 
Kineniatiken in den Schutzkreis einbinden. Zurn Zwecke 
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der Anzeige kann eine identische Sicherheit.seinricht.ung 
auch in entsprechende Bedientafeln integriert warden. 

In der Fig. 3 sind schematisch die Bet.riebszust.ande der 
erfindungsgemaBen Sicherheitseinrichtungen daigestellt. 

Der Bedienerschutz kann geoffnet. oder geschlossen sein. 5 
Es kann eine Zustimm-Taste bet.at.igt (Ja) oder nicht bet.at.igt. 
(Nein) sein. Es kann ein Automatik- oder Testbetrieb ge- 
waiilt sein. Bei Autoinatikbetrieb ist, wie sich aus der Auf- 
stellung ergibt, ein Betrieb nur moglich, wenn der Bediener- 
schutz geschlossen ist. Bei Wahl "Test" ist, ein Betrieb bei 10 
geoffnetem und geschlossenera Bedienerschutz moglich, 
aber nur, wenn gleichzeitig die Zustimm-Taste betatigt wird. 

Die Betriebszustande konnen hinsichtlich weiterer Ein- 
g tinge je nach Einsatz- bzw. Anwendungszweck erweitert 
werden. 15 

In den Sicherheitseinrichtungen 6, 6.1-6,5 erfolgt zu- 
nachst ein Vergleich der lokaien Ergebnisse der beiden Mi- 
krocontroUer und eine Uberprufung auf Abweichung. Ist ein 
Unterschied vorhanden, wird die Variable "Vergleich fehl- 
geschlagen" (Vf) inkrernentiert. Sie gibt die Anzahl der 20 
Koimnunikationszyklen an, bei denen nacheinander die Er- 
gebnisse beider Kanale nicht ubereingestinmu haben. Sind 
die Ergebnisse konsistent, wird Vf zuruckgeselzt oder de- 
kreiiieniiert. Wird die zwischen den beiden Kaniilen niaxi- 
nial zulassige Kanalverzogerungszeit, die definiert ist durcli 25 
Vf-rnax, uberschritten, so wird "Not- Aus" ausgelost und das 
Net.zwerk verriegelt sich. 

Der Intbrrnat.ionskanal, der Fur den Vergleich genutzt 
wird, ist der gleiche serielle KanaL der auch Fur die Kotnniu- 
nikation zwischen den Sicherheitseinrichtungen verwendet 30 
wird. 

Ein Vergleich erfolgt wtihrend der laufcnden Pro/esskoni- 
niunikation: Ein Schrilt entspricht dein Datenunifang eines 
MikrocontroUers. Ein Schiebeschritl, es ist abhangig von 
der Position des Mikroconirollers der Sicherheiiseinrich- -■'5 
tung der erste oder der ietzie pro Konmiunikation, ist fur den 
Vergleich vorgesehen. In diesern Schritt wird das Eingangs- 
und das Ausgangs-Abbild init dem des parallelen Mikrocon- 
troUers in der gleichen Sicherheitseinrichtung verg lichen. 

Ein weiterer Vergleich erfolgt bei Koiimiunikations-Be- 40 
ginn Oder bei einer Zwischenkotuiuunikation. Es wird dabei 
geprult. ob der Vergleich der Pro/essabbilder sowic das 
Fiihren des Vf nichl auch in der nachs(en Sicherheitseinrich- 
tung stat.t.finden kann. So kann ein Vergleich, bei dern eine 
An, ZwischenkonuuLinikation erfolgt, nur zwei Schiebe- 45 
schriite dauem. Ini ersien Schritt. uberlragt jeder Mikrocon- 
troller eigene Prozessdaten. Der jeweils zweite VFikrocon- 
troller einer Sicherheitseinrichtung kann Jetzt bereits ver- 
gleichen. Der jeweils erste Mikrocontroller nierkt sich zu- 
ntichst das Prozessabbild des vorigen MikrocontroUers. Er 50 
t uhrt den Vergleich nuch dern zwei ten Schiebeschrit l durch. 
Der Vf-Ziihler dieses MikrocontroUers gilt also fur den ini 
Sicherheits-Kreis vorher angeordnet.en Sicherheitskem. 

Irn weitercn erlblgt eine Verkniipfung als eigentliche 
Eunktion des Schierheitskreises: Zuni einen wird aus den 55 
Eingiingen jeder einzelnen Sicherheitseinrichtung ein eige- 
nes Ergebnis gebildet: zuni anderen werden die Ergebnisse 
der anderen Sicherheitseinrichtungen vor der Aktualisie- 
rung irn lokaien Ergebnis beriicksichtigt. Es gibt, zwei Mog- 
lichkeiten, die Ausgabe-Ergebnisse zu emiitteln: Es kann 60 
bei der Koniinunikation das gesamte ProzeRabbild ausge- 
tauscht werden und soinit in jeder der Gesanit.-Not-Aus par- 
allel, aber in unterschiedlicher Reihenfolge verkniipft wer- 
den. Es kann ein Ausfuhrungsbefehl gesendet werden. In 
dieseni Befehl verknupfen alle Sicherheitseinrichtungen . 65 
ihre Ergebnisse, und es werden alle Ausgiinge nach diesetn 
Befehi geschaltet. 

Man unterscheidet verschiedcne Arten der sicheren Still- 
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setzung: 

Die Funktion Not-Aus kann von verschiedenen Signalge- 
bern ausgelost werden. Alle angeschlossenen Signalgeber 
sind dabei zweikanalig angeschlossen. Beim Losen der Not- 
Aus- Verriegelung kann eine unendHche Gleichzeitigkeit 
zwischen den Kanalen akzeptiert werden. 

Der Not-Aus hat in unterschiedlichen Bet.riebsarten unter- 
schiedliche Reaktionen zur Folge. 

Im Automatikbetrieb ist dabei die Abschaltung des Net- 
zes verzogert. und sicher. Der eingeleitete Not-Aus wird von 
der Steuerung erkannt und es wird sofort eine Not-Aus- 
Stop-Rampe gefahren. Mit dieser Stop-Rampe bleibt der 
Roboter auf der programmierten Bahn. Der Roboter koinmt 
in einem kalkulierten Punkt zuiii Stillstand. 

Iin Testbetrieb wird die Energieversorgung bei Not-Aus- 
Anforderung sofort abgeschaltet. Die Freigaben fur die An- 
triebe bleiben, solange kein Antriebsfehler aufgetreten ist, 
aktiv. So wird gewahrleistet, daB der Roboter mit dem kur- 
zestnioglichen Bremsweg und damit am schnellsten in den 
sicheren Zustand gebracht werden kann. 

Der Bedienerschutz versetzt nun die lokale Anlage in den 
sicheren Zustand. Der Bedienerschutz muB in den unter- 
schiedhchen Betriebsarten init veschiedenen Signalen ver- 
kniipft werden: 

BS-Freigabe = Schutzgiiter geschlossen & Automatik + Zu- 
stimmung gedriickt Sc Testbetrieb. 

Der Bedienerschutz wirkt immer unverzogert auf die 
Energieabschaltung via Flauptschiitz. Die Abschaltreaktion 
der Maschine oder des Robol.ers ist so zu gestaltcn, daB im- 
mer kurzeste Bremswege erreicht werden. 

Die Koniinunikation zwischen den Sicherheitseinrichtun- 
gen erfolgt seriell und geht durch beide Mikrocontroller hin- 
durch, so daB jeder Mikrocontroller in der Lage ist, dem je- 
weils anderen liber den Kommunikationsring das Prozessab- 
bild zum Vergleich zur Verfugung zu stellen. Die Kommuni- 
kation dient zum Vergleich der Kanale bei zweikanaligen 
Eingiingen und zur detenninistischen Aktuahsierung des 
Ausgangsabbilds auf dem gesamten Bus. Jede Kommunika- 
tion erfolgt in Schiebeschrirten. Ein Schritt enlspricht dern 
Datenunifang eines MikrocontroUers. Fin Schiebeschritl, es 
ist der ersle oder der letzte pro Komniunikation, ist fiir den 
Vergleich vorgesehen. Alle anderen Schiebeschritle werden 
dazu benutzt, das Gesamtprozessabbild des Netzwerks in 
der einzelnen Sicherheitseinrichtung zu enuitteln. Dabei 
werden nur Pro/essabbilder von anderen iibemommen, wel- 
che von deren beiden Mikrocontrollern gleich Libcriragen 
wurden. 

PatenlansprCiche 

1. Vertahren zuiu Uberwachen einer Anlage mit meh- 
reren Funktionseinheiten, wobei jede Funktionseinheit 
durch jeweils eine eigene zweikanalige und in sich red- 
undante Sicherheitseinrichtung individuell uberprufi 
wird, die beiden Kanale jeder Sicherheitseinrichtung 
stiindig verglichen werden, die Sicherheitseinrichtun- 
gen laufend einander uber ihren Uberprufungszustand 
unterrichten und bei einer Fehlfunktion mindestens ei- 
ner Funktionseinheit oder Sicherheitseinrichtung min- 
destens ein sicherheitsrelevantes Stellglied betatigi 
wird. 

2. Verfahren nach Anspruch 1, dadurch gekennzeich- 
net, daB die Sicherheitseinrichtungen seriell mit.einan- 
der konimunizieren. 

3. Vertahren nach Anspruch I oder 2, dadurch gekenn- 
zeichnet, daB die Sicherheitseinrichtungen miitels ei- 
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nes Ringprotokolls miteinander kommunizieren. 

4. Verfahren nach einem der vorangehenden Ansprii- 
che, dadurch gekennzeichnet, daB jede Sicherheitsein- 
richtung laufend eine Diagnose der ihr zugeordneten 
Funkr.ionseinheir. und unter Heranziehung der ihr von 5 
den anderen Sicherheit.seinrichtungen iibennittelten In- 
formationen der gesamten Anlage durchfuhrt. 

5. Verfahren nach einem der Ansprtiche 1 bis 4, da- 
durch gekennzeichnet., daB in den Sicherheitseinrich- 
tungen enthaltene Mikroprozessoren zyklisch ihr Pro- lo 
zessabbild und das daraus kalkulierte Ergebnis und/ 
Oder den Inhalt. von vSpeichem iiberpriifen. 

6. Verfahren nach einem der vorangehenden Ansprii- 
che, dadurch gekennzeichnet., daB in den Sicherheits- 
einrichfungen der korrekte eiekt.romechanische An- 15 
schluB und die Funktion von Signaleingangen und Si- 
gnalgebem uberpruft. wird. 

7. Vorricht.ung zuni Uberwachen einer Aniage (A) mit 
inehreren Funktionseinheiten (1 bis 5), wobei jeder 
Funktionseinheit (1 bis 5) jeweils eine eigene zweika- 2() 
nalige und in sich redundant.e Sicherheiiseinrichtung 
(6; 6.1 bis 6.5) niit. zwei einander vergieichenden Pro- 
zessoren zur individuellen Uberprufung der jeweiHgen 
Funktionseinheit. (1 bis 5) zugeordnet ist und die Si- 
cherheit^seinrichtungen (6; 6.1 bis 6.5) derart. miteinan- 25 
der verbunden sind, daB sie bei einer-Fehlfunktion min- 
destens einer Funktionseinheit. (I bis 5) oder Sicher- 
heilseinrichtung (6; 6.1 bis 6.5) niindestens ein sicher- 
heiisrelevantes Sr.ellgHed betatigen. 

8. Vorrichlung nach Anspruch 7, dadurch gekenn- 30 
zeichnet, daB die Sicherheitseinrichtungen (6; 6.1 bis 
6.5) eine Schnittst.eilenbeschalt.ung aufweisen. 

9. Vorricht.ung nach Anspruch 7 oder 8, dadurch ge- 
kennzeichnet., daB die Sicherheilseinrichtungcn (6; 6.1 
bis 6.5) seriell miteinander verbunden sind. 35 

10. Vorrichlung nach- einem der Anspruche 7 bis 9, da- 
durch gekennzeichnet, daB die Sicherheitseinricht.un- 
gen (6; 6.1 bis 6.5) in einem Ring miteinander verbun- 
den sind. 

11. Vorrichlung nach einem der Anspruche 7 bis 10, 40 
dadurch gekenn/.eichnel, daB jede Sicherheitseinrich- 
tung mindeslens einen sicherheitsrelevanlen Ausgang 
(15, 16) aufweisl. 

12. Vorricht.ung nach einem der Anspruche 7 bis 11, 
dadurch gekennzeichnet, daB jede Sicherheiiseinrich- 45 
tung mehrerc sicherheitsVelevante Hingange (11 bis 14) 
aufwcist. 

13. Vorrichlung nach einem der Anspruche 7 bis, 12. 
dadurch gekennzeichnet, daB Jede Sicherheiiscinrich- 
tung (6; 6,1 bis 6,5) Diagnoseeingange (17) aufweisl.. 50 

14. Vorrichlung nach Anspruch 12 mil 13, dadurch ge- 
kennzeichnet., daB die Diagnoseeingange (17) mit Pruf- 
wSchailzyklen der sicherheitsrelevanlen Eingangc (11 
bis 14) synchronisiert. sind. 

15. Vorricht.ung nach einem der Anspruche 7 bis 14, 55 
dadurch gekennzeichnet, daB die vSicherheilseinrich- 
tungen (6; 6.1 bis 6.5) idenlisch zueinander ausgebildet 
sind. 
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